Sieciowe systemy wykrywania włamao (network based IDS)

BSS :: Laboratorium 6, 10/01/2011
Woś Krzysztof, Grupa 4I1
Sieciowe systemy wykrywania włamao (network based IDS)
Tcpdump
Sied 194.29.167.0/24. Komputery pracujące w sieci, to w większości komputery oparte na systemie operacyjnym
linux/unix (większośd ttl=64). Można również wnioskowad, że komputery są łączone za pomocą switchy (oprócz
własnego ruchu, widzimy tylko pakiety rozgłoszeniowe).
Adres serwera DNS otrzymujemy za pomocą filtra: udp and port 53, rezultat: proton.elka.pw.edu.pl:53
Adres bramy otrzymujemy za pomocą poleceo: traceroute mion.elka.pw.edu.pl i tcpdump icmp, rezultat:
rii.ii.pw.edu.pl
Ruch z danego protokołu otrzymujemy za pomocą filtra np. udp
Ruch z danego adresu otrzymujemy za pomocą filtra np. src host 212.77.100.101
Zaobserwowane podczas pracy zostały pakiety arp, udp (nfs, netbios), tcp, icmp.
Nmap
Przy skanowaniu nmap najpierw sprawdza czy dany host jest aktywny poprzez wysłanie pakietu icmp(ping) a następnie
wysłanie tcp syn na port 80 danej maszyny. Po takim wstępnym rozpoznaniu następuje skanowanie właściwe.
Wynik polecenia nmap 194.29.167.244 -v -sS -O:
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Host p138-nt14 (194.29.167.244) appears to be up ... good.
Initiating SYN Stealth Scan against p138-nt14 (194.29.167.244)
Adding open port 111/tcp
Adding open port 22/tcp
Adding open port 80/tcp
The SYN Stealth Scan took 0 seconds to scan 1601 ports.
For OSScan assuming that port 22 is open and port 1 is closed and neither are firewalled
Interesting ports on p138-nt14 (194.29.167.244):
(The 1598 ports scanned but not shown below are in state: closed)
Port
State
Service
22/tcp
open
ssh
80/tcp
open
http
111/tcp
open
sunrpc
Skanowanie portów.
Nmap w celu prowizorycznego ukrycia skanowania portów, skanuje je w losowej kolejności.
- nmap –sS: najpierw następuje badanie czy w ogóle dany host jest aktywny, po czym następuje wysłanie pakietu TCP
SYN na dany port. Przy otwartym porcie, badany host odpowiada TCP SYN+ACK i resetuje połączenie pakietem TCP
RESET. Przy porcie zamkniętym natomiast badany host od razu wysyła pakiet TCP RESET.
- nmap –sT: podobnie, najpierw następuje badanie, czy w ogóle dany host jest aktywny, wysyła pakiet TCP SYN. W
przypadku otwartego portu otrzymuje odpowiedź TCP SYN+ACK, wtedy wysyłany jest pakiet TCP ACK i resetowanie
połączenia pakietem TCP RESET. Przy porcie zamkniętym od razu otrzymany zostaje pakiet TCP RESET.
- nmap –sU: badanie następuje tutaj za pomocą pakietów UDP.
- nmap –sF: wysyłany jest pakiet Fin na dany port. W przypadku portu zamkniętego otrzymywana odpowiedź jest
RESET.
Fingerprinting.
Wykonywany jest poleceniem nmap –O. Fingerprinting pokazał, że jądro systemu na którym pracujemy jest 2.40-2.5.20.
Snort
- snort –A full: dodatkowo otrzymywane są w logu informacje z nagłówka pakietu (takie jak np. ttl, TOS, IpLen, itp.).
- snort –A fast: dostajemy jedynie podstawowe informacje o przesyłanych pakietach: host źródłowy i docelowy oraz
typ protokołu.
Wszytkie logi z działania programu są zapisywane w pliku /var/log/snort/alert oraz w katalogu
/var/log/snort/IP_ADRES możemy znaleźd dodatkowe informacje.
Reguła spełniająca założenia prowadzącego, powinna wyglądad następująco:
alert ip any any <> any 80 (msg: "wykryto ATAK";content:"ATAK";nocase;)